两个防火墙之间通过 IKE
建立
IPSec VPN 隧道(国密认证)
组网需求:某公司总部和分部之间要通过 Internet 进行通信,为保证信息安全,计划搭
建 IPSec VPN
隧道对通信的数据进行加密。
1、总部和分部均使用防火墙联入互联网。
2、两台防火墙均工作在路由模式,分别位于公网出口,即边界处。
3、两台防火墙之间搭建
VPN
自动隧道,其中
CA
中心为防火墙
1
。
两台防火墙的具体参数如下表所示。
![](https://img-blog.csdnimg.cn/6131ebcdc4e446ec9e069f3d9e3d82d6.png)
配置思路 :国密认证时的配置思路如下图所示
配置防火墙 1
步骤
1
配置防火墙接口
IP
地址、源
NAT
、安全策略等,保证内网主机可以访问互 联网。具体步骤略。
步骤
2
进入
Web
配置界面,选择“网络配置
>
路由
>
静态路由”,单击“添 加”,配置默认路由。
步骤
3
配置
SM2
算法的可信
CA
。
1、进入
CLI
配置界面,输入以下命令,创建基于
SM2
算法的
CA
。
NSG-config]
pki cacenter generate ca country cn state
beijing city beijing commpany qianxin depart production
cname qianxin-firewall email 123@qianxin.com
validperiod 1000 pkey SM2-256
2、
进入
Web
配置界面,选择“系统配置
> CA
中心
>
本地
CA
”,查看 生成的 CA
信息。
步骤
4
配置
SM2
算法的一般证书。
1、进入
CLI
配置界面,输入以下命令,配置基于
SM2
算法的一般证书。
NSG-config]
pki cacenter generate cert country cn state
beijing city beijing commpany qianxin depart production
cname qianxin-firewall email 123@qianxin.com
validperiod 1000 pkey SM2-256
2、
进入
Web
配置界面,选择“系统配置
> CA
中心
>
本地
CA
”,查看 生成的一般证书信息。
步骤
5
选择“系统配置
>
证书管理
>
可信
CA
”,单击“导入”,从本地
CA
中 心导入刚生成的可信 CA
。
步骤 6 导入完成后,单击“操作”列的“ ”,导出可信 CA 证书,保存到管理 主机,后续会将该 CA 证书导入到防火墙 2 中。
步骤 7 选择“系统配置 > 证书管理 > 证书列表”,单击“导入”,导入刚生成 的证书。
步骤
8
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IKE
提议”页签,单击 “添加”,配置 IKE
提议。
步骤
9
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec IKE
网关”页签, 单击“添加”,配置 IKE
网关。
说明:对端 ID 值”为防火墙 2 生成的证书列表的主题信息。
步骤
10
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
提议”页签,配 置 IPSec
提议。
步骤
11
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
隧道”页签,配 置 IPSec
隧道。
步骤 12 选择“策略配置 > 安全策略”,单击“添加”,配置安全策略。
说明:防火墙匹配安全策略时,是按照从上到下的顺序进行匹配。因此,安全策略 配置完成后,请根据实际组网合理调整隧道相关安全策略的顺序,防止因为流量匹配到错误的安全策略,导致业务不通的情况发生。
防火墙 1 审批证书
步骤
1
进入防火墙
1
的
Web
配置界面,选择“系统配置
> CA
中心
>
证书审批”, 单击“导入”,把防火墙 2
的请求文件导入防火墙
1
。
步骤
2
导入成功后,单击“ ”,进行审批。
步骤
3
审批成功后,选择“系统配置
> CA
中心
>
一般证书”,查看审批通过的 证书。
步骤
4
单击“ ”,导出审批通过的证书,再将该审批后的证书导入防火墙
2
即可。
配置防火墙 2
步骤
1
配置防火墙接口
IP
地址、源
NAT
、安全策略等,保证内网主机可以访问互 联网。具体步骤略。
步骤
2
进入
Web
配置界面,选择“网络配置
>
路由
>
静态路由”,单击“添 加”,配置默认路由。
步骤
3
配置并下载请求文件。 进入 Web
配置界面,选择“系统配置
>
证书管理
>
请求文件”,单
击“生成请求文件”,创建请求文件。
单击“ ”,导出并下载请求文件。
步骤
4
将请求文件导入防火墙
1
,进行请求文件审批。
步骤
5
选择“系统配置
>
证书管理
>
可信
CA
”,单击“导入”,将防火墙
1
导 出的可信 CA
导入到防火墙
2
的可信
CA
中。
步骤
6
选择“系统配置
>
证书管理
>
请求文件”,单击请求文件操作列的 把防火墙 1 审批后的证书导入到防火墙
2
中。
步骤 7 选择“网络配置 > VPN > IPSec 自动隧道”,选择“IKE 提议”页签,单击 “添加”,配置 IKE 提议。
步骤
8
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec IKE
网关”页签, 单击“添加”,配置 IKE
网关。
说明:对端 ID 值”为防火墙 1 生成的证书列表的主题信息。
步骤
9
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
提议”页签,配置 IPSec
提议。
![](https://img-blog.csdnimg.cn/4c830de321f74bb8b3710af3195186ed.png)
步骤
10
选择“网络配置
> VPN > IPSec
自动隧道”,选择“
IPSec
隧道”页签,配 置 IPSec
隧道。
步骤 11 选择“策略配置 > 安全策略”,单击“添加”,配置安全策略。
说明:防火墙匹配安全策略时,是按照从上到下的顺序进行匹配。因此,安全策略 配置完成后,请根据实际组网合理调整隧道相关安全策略的顺序,防止因为 流量匹配到错误的安全策略,导致业务不通的情况发生。